事故から学ぶ

家具通販サイトでクレカ情報流出 – 不正利用も Armonia本店

事故概要

業種 通販サイト
発生時期 2018/08/20-2019/04/26
漏えい人数 649人
事故概要

インテリア家具の通信販売サイト「Armonia本店」が不正アクセスを受け、顧客のクレジットカード情報が流出した可能性があることがわかった。
同サイトを運営するモダンデコによれば、システムの脆弱性を突く不正アクセスを受け、決済用のモジュールが改ざんされたもので、顧客のクレジットカード情報が窃取された可能性がある。
対象となるのは、2018年8月20日から2019年4月26日にかけて同サイトを利用した顧客649人分のクレジットカード情報。名義、番号、有効期限、セキュリティコードが含まれる。
4月26日にクレジットカード決済代行会社より情報流出の可能性について指摘があり、同社では同サイトを停止。5月9日より外部の調査会社による調査を実施し、6月20日に調査報告を受けていた。
同社では、9月27日に警察および個人情報保護委員会へ報告。対象となる顧客には書面による連絡を行うとしている。停止している同サイトについては、システムの安全性を確認したうえで再開する予定。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 “システム管理(不正アクセス防止)(インターネット利用)

チェックリストにある要求ルール:

Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?”
利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有して、社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈で行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?

■ 推奨対策

対策:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築できる体制を整えること。
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みを取ること。

具体例:

攻撃の手法は日進月歩であり、毎日、新しい手口が生み出されている。自社に攻撃があってから動くのでは手遅れなので、最新の動向を把握し、その対策を自社でどのように取り入れるのか、短時間に対策の選択と導入実行できる建付けを用意しておくこと。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。